Worming your way in through IIS -
CVE-2022-21907

Di Eoin Carroll · 27 gennaio 2022

Cronologia delle vulnerabilità dello stack HTTP in IIS

Nella prima patch Tuesday del 2022, Microsoft ha rilasciato una patch per una vulnerabilità simile a un worm, CVE-2022-21907 che interessa lo stack HTTP in IIS, in particolare il driver HTTP.sys. Questa è la seconda vulnerabilità di questo tipo nel driver HTTP.sys di Microsoft negli ultimi sette mesi. Entrambi hanno un punteggio CVSS di 9,8. Come sempre, un’analisi delle vulnerabilità critiche del settore è progettata per proteggere i nostri clienti e la più ampia comunità online attraverso un'analisi qualitativa basata sull'esperienza. Poiché il settore della sicurezza informatica si sta ancora riprendendo da CVE-2021-44228 associato a “Log4j”, non possiamo ignorare altre vulnerabilità critiche che possono essere sfruttate dai worm.

La vulnerabilità CVE-2021-31166 analizzata sette mesi fa potrebbe essere utilizzata anche per diffondere worm, ma non è stata convertita in modo dannoso. Questa assenza di sfruttamento potrebbe essere in parte spiegata dal fatto che le aziende stanno ora accorciando la loro finestra di esposizione applicando patch più rapidamente, scottate da precedenti vulnerabilità tra cui il famigerato EternalBlue. Per non parlare degli sforzi dei team di ricerca sulle minacce per segnalare le vulnerabilità critiche da correggere.

Analisi delle vulnerabilità CVE-2022-21907 e scenario di attacco

Secondo la nostra analisi delle patch, CVE-2022-21907 è una vulnerabilità del tipo di memoria non inizializzata in due funzioni di allocazione della memoria denominate UpAlllocateFactTracker e UIAllocateFastTrackerToLookaside. Queste funzioni non riescono ad azzerare la memoria allocata nel pool non di paging del kernel prima di eseguire le operazioni successive. “Preparando” questo pool non di paging del kernel in remoto, è possibile mettere la memoria in pool in uno stato in cui la memoria non inizializzata allocata da UlpAllocateFactTracker e UIAllocateFastTrackerToLookaside può essere riempita con i dati gestiti dal criminale informatico. La preparazione consiste nell'invio di campi di intestazione HTTP molto lunghi contenenti i dati controllati dal criminale informatico per forzare un'allocazione nel pool non di paging del kernel. Secondo la nostra analisi, sono necessari alcuni minuti per prepararlo e causare un arresto anomalo del sistema. Questo scenario dipende completamente dallo stato della memoria del pool del kernel sul server. Il suo sfruttamento richiederebbe la creazione remota di primitive di lettura, scrittura ed esecuzione, il che non è facile. Tuttavia, la vulnerabilità presenta le proprietà per orchestrare un'esecuzione di codice in modalità remota e un attacco Denial of Service (schermata blu) nelle versioni interessate di Windows. La prospettiva di causare l'arresto anomalo di IIS in remoto senza richiedere l'autenticazione sarebbe ovviamente un vantaggio per i criminali informatici.

Funzioni di prevenzione

Nel suo avviso, Microsoft specifica le versioni del sistema operativo Windows interessate. Tuttavia, nel settore della sicurezza informatica, sono molte le speculazioni su quali versioni siano effettivamente interessate. Questo è il motivo per cui consigliamo di applicare patch a tutti i server IIS e principalmente ai server IIS esterni. Se non riesci a installare l'aggiornamento di Microsoft, forniamo una “patch virtuale” sotto forma di firma IPS di rete, che viene utilizzata per rilevare e prevenire tentativi di sfruttare questa vulnerabilità. Se non sei in grado di correggere la vulnerabilità o proteggerti utilizzando la nostra firma IPS di rete, ti consigliamo di tenere traccia dei campi di intestazione HTTP a livello di rete contenenti grandi quantità di dati e inviati da richieste HTTP ripetute e successive. Questo è l'indice di una preparazione a distanza. In genere, i server Web controllano solo la somma dei dati dei campi nelle intestazioni HTTP e non la loro lunghezza.

Al momento in cui scriviamo, non siamo a conoscenza di alcuno sfruttamento nel mondo reale di CVE-2022-21907, ma continueremo a monitorare il panorama delle minacce e a tenerti informato. Le vulnerabilità di tipo HTTP.sys tendono a moltiplicarsi. Invitiamo quindi le aziende a tenersi pronte ad applicare eventuali nuove patch prioritarie.

Se stai usando IIS, applica la patch ORA.

Protezione McAfee Network Security Platform (NSP)

Attacco del componente: 0x452a1500 “HTTP: rilevata un'intestazione di richiesta lunga”

Attacco di correlazione: 0x452a1300 “HTTP: vulnerabilità di esecuzione di codice remoto nello stack dei protocolli di Microsoft IIS (CVE-2022-21907)”

Articolo KB95180 della Knowledge Base di McAfee

https://kc.mcafee.com/agent/index?page=content&id=KB95180